Moskau. Das Erstaunen im weltweiten Cyberspace war groß, als die Website der russischen Hackergruppe „REvil“ am vergangenen Dienstag von einer Minute zur nächsten nicht mehr erreichbar war. Verschwunden war etwa der zynische „Happy Blog“ im Darknet, der zahlungsunwillige Opfer von Erpressungsaktionen an den Pranger stellt, ebenso wie die Seiten, auf denen Opfer mit REvil verhandeln konnten.

Die Gruppe, die sich in Anspielung auf ihre hochkriminelle Energie ausgeschrieben „Ransomware Evil“ nennt, ist eine der aggressivsten Hackerorganisationen der Welt. Es gilt als nahezu sicher, dass sie entweder in Russland oder einem Nachfolgestaat der Sowjetunion aktiv ist.

Mehr zum Thema

 

Gefahren im Onlinebanking und wie Sie sich schützen können

 

Katastrophenfall nach Cyberattacke im Landkreis Anhalt-Bitterfeld

 

LinkedIn: Erneut Daten von Millionen Nutzerinnen und Nutzern in Hackerforum entdeckt

Mit ihrem jüngsten Feldzug hatte sie gerade erst wieder demonstriert, dass sie nicht davor zurückschreckt, sogar die Supermacht USA herauszufordern: Anfang Juli schädigte sie die IT-Systeme von weltweit bis zu 1500 Unternehmen, die ihre Daten über den amerikanischen IT-Dienstleister Kaseya verwalten.

Wegen eines Hackerangriffs konnten viele Supermärkte nicht öffnen

Dessen Software nutzten die Cyberkriminellen als Einfallstor für sogenannte „Ransomware“-Attacken mittels ihres Programms „Sodinokibi“. Diese Malware verschlüsselt die Daten der Opfer, mit der Folge, dass deren IT-Systeme abstürzen. Mit oft weitreichenden Konsequenzen: Der REvil-Überfall auf Kaseya führte etwa dazu, dass die schwedische Supermarktkette Coop keine ihrer 800 Filialen öffnen konnte, weil die Kassensysteme nicht mehr funktionierten.

In Neuseeland waren elf Schulen und mehrere Kindergärten und in Deutschland der Lager- und Betriebsausstatter Berger aus Korntal-Münchingen bei Stuttgart mit 70 Mitarbeitern betroffen. Das eigentliche Ziel des Angriffs erfolgte im nächsten Schritt: die Einforderung eines Lösegelds (englisch: Ransom) in Kryptowährung von umgerechnet 70 Millionen (später hieß es 50 Millionen) Dollar.

Mehrere Theorien, weshalb die Gruppe plötzlich so still ist

Es lief also gerade mal wieder prächtig für REvil, was nun umso dringender die Frage aufwirft, warum die Cyberkriminellen so plötzlich ihre Segel strichen. Denn nun können nicht einmal mehr zahlungswillige Opfer in Kontakt mit der Gruppe treten.

Bisher gibt es eine Reihe von Theorien für den plötzlichen Abzug der Hacker, die allerdings allesamt unbelegt sind: Experten halten es für möglich, dass das U.S. Cyber Command, die für die elektronische Kriegsführung zuständige Einheit der US-Streitkräfte, REvil abgeschaltet hat. Möglich ist auch, dass die russischen Behörden einschritten. Oder die Gruppe hat sich selbst aus dem Spiel genommen, weil ihr der Boden unter den Füßen zu heiß wurde.

„Sie sind Aufschneider“

Die beiden ersten Theorien hält der Geheimdienstexperte Alan Liska von der US-Onlinesicherheitsfirma Recorded Future für wahrscheinlicher als letztere: „Wir wissen wenig über diese Jungs. Doch eins ist sicher: Sie sind Aufschneider“, sagte Liska der „New York Times“. „Und es gab keinerlei Maulheldentum, keine Prahlerei. Es sieht ganz so aus, dass sie unter Druck hingeschmissen haben.“

Der Tag

Was heute wichtig ist. Lesen Sie den RND-Newsletter “Der Tag”.

Abonnieren

Mit meiner Anmeldung zum Newsletter stimme ich der Werbevereinbarung zu.

Tatsächlich ist REvil für berühmt-berüchtigt für selbstbewusstes – man könnte auch sagen: angeberisches – Auftreten: In einem Interview mit dem Blog „The Record“, der von Recorded Future herausgegeben wird, gab sich REvil-Mitglied „Unbekannt“ im März ganz so, als sei er ein ganz normaler Wirtschaftskapitän, der seine Kosten im Blick behalten müsse: „Die Opfer müssen verstehen, dass je mehr Ressourcen wir aufwenden, bevor das Lösegeld gezahlt wird, desto mehr müssen wir dies in den Kosten für unseren Service berücksichtigen.“

Welche Rolle spielt der Kreml?

Doch die Angelegenheit weist weit über die Befindlichkeiten eines Cyberkriminellen hinaus: Sollte es zutreffen, dass sich REvil auf äußeren Druck hin zurückgezogen hat, müsste die Lage im amerikanisch-russischen Cyberkrieg neu bewertet werden. Denn das würde bedeuten, dass entweder die USA auf dem Boden der früheren Sowjetunion oder die Russen selbst gegen Cyberkriminelle vorgegangen sind, die höchstwahrscheinlich im Einflussbereich der russischen Staatsmacht agieren.

Noch im Mai hatten das viele Experten für unmöglich gehalten: „In Russland geschieht in Bezug auf die Cyberkriminalität nichts, ohne dass der Kreml dahintersteckt“, hatte David Kennedy, früherer Hacker des US-Geheimdienstes NSA, in einem Interview mit dem US-Fernsehsender CNBC gesagt, nachdem die russische Ransomwaregruppe DarkSide die amerikanische Colonial Pipeline kurz zuvor angegriffen und Lösegeld in Höhe von 11 Millionen Dollar (9,3 Millionen Euro) erbeutet hatte.

Dabei war es zu massiven Engpässen bei der Benzin- und Kerosinversorgung im Osten der USA gekommen, weil die knapp 9000 Kilometer lange Pipeline des Unternehmens wegen des Zusammenbruchs ihrer Computersteuerung vorübergehend komplett stillgelegt werden musste.

Doch die im Westen häufig geäußerte Einschätzung, dass kriminelle Hacker aus Russland stets mit dem Kreml unter einer Decke stecken, war auch im Mai schon viel zu pauschal.

250.000-Euro-Hochzeit im Luxusgolfclub bei Moskau

Es gibt zwar Hacker wie Maxim Jakubets (34) und Igor Turaschew (40), die mit ihrer kriminellen Organisation Evil Corp. mittels Malware Geld in 40 Ländern gestohlen und allein in den USA 70 Millionen Dollar (59,1 Millionen Euro) von Bank-, Unternehmens- und privaten Konten abgeräumt haben sollen. Beide werden vom FBI gesucht, auf Jakubets hat die US-Sicherheitsbehörde sogar ein Lösegeld von 5 Millionen Dollar (4,2 Millionen Euro) ausgesetzt.

Trotzdem leben die zwei Hacker in Russland völlig unbehelligt. Jakubets sogar im Licht der Öffentlichkeit: Für seine Heirat mit der Geschäftsfrau Aljona Benderskaja im Jahr 2017 ließ er mehr als umgerechnet 250.000 Euro springen. Die Feierlichkeiten fanden im Luxusgolfclub Tseleewo bei Moskau statt, das pompöse Ambiente der Veranstaltung wurde auf einem Youtube-Video verewigt.

Dass Jakubets vor aller Augen mit gestohlenem Geld um sich werfen kann, führen die US-Behörden nach einem Bericht der „New York Post“ darauf zurück, dass er unter Protektion des Kremls steht, weil er sich mit seinen Hackerkenntnissen für den russischen Inlandsgeheimdienst FSB nützlich gemacht haben soll, indem er geheime Dokumente besorgte.

REvil geht es allein um das Geld

Doch das ist wohl der entscheidende Unterschied zwischen Jakubets und REvil’s „Unbekannt“: Ersterer erfüllte Aufgaben für den Kreml in politischer Mission, während Letzterer im Interview mit „The Record“ versichert, politisch absolut neutral zu sein.

Das heißt: Es geht ihm allein ums Geld, ganz anders als den russischen Geheimdiensten, wenn sie im Cyberspace agieren. Ihre Aufgabe besteht vielmehr darin, vertrauliche Informationen zu beschaffen oder politisch als feindselig eingeschätzte Länder wie zuvorderst die USA, Großbritannien und die Ukraine, aber auch Deutschland zu destabilisieren – etwa bei Wahlen.

In Bezug auf beide Interessenlagen ergeben die Attacken auf Kaseya, Colonial Pipeline und den US-Fleischproduzenten JBS (durch REvil, ebenfalls im Mai) wenig Sinn, eher sind sie aus Sicht der russischen Staatsmacht sogar kontraproduktiv. Denn die Erpressungsaktionen passten dem Kreml nicht just in dem Moment ins Konzept, als seine Unterhändler zusammen mit amerikanischen Kollegen gerade den Biden-Putin-Gipfel in Genf anbahnten.

USA: „Gefahr für die nationale Sicherheit“

Auch die Biden-Administration, die Russland wegen Cyberattacken immerhin mit Sanktionen belegt hat, beeilte sich in dieser Angelegenheit mit ihrer Mitteilung, dass sie im Falle von Colonial Pipeline und JBS keine Verbindungen zum Kreml erkennen könne.

Beim Gipfel selber wiederholte der amerikanische Präsident zwar seinen Vorwurf, dass russische Geheimdienste einen massiven Hackerangriff auf Ministerien, Behörden und Firmen in den USA unternommen hätten, was Putin wie so oft mit der Feststellung zurückwies, dafür gebe es keine Beweise

Seine Unterhändler ließ der russische Präsident allerdings versichern, dass Russland durchaus Interesse an einer Kooperation bei der Bekämpfung der Cyberkriminalität habe. Das wirkte fast schon wie ein Zugeständnis an das Weiße Haus, das den Kreml zwar nicht direkt für russische Ransomware-Attacken verantwortlich macht, aber von Russland inzwischen erwartet, dass dessen Behörden den Tätern das Handwerk legen, wenn sie etwa Opfer in den USA angreifen.

Diese Forderung ist allerdings aus rein rechtlichen Gründen gar nicht so leicht zu erfüllen. Darauf weist Jewgeni Kaspersky hin, Gründer des gleichnamigen Onlinesicherheitsunternehmens. Denn so lange russische Cyberkriminelle keinen Schaden auf russischen Boden verursachten, werde jeder russische Staatsanwalt von einer Strafverfolgung absehen, erklärte er Anfang Juni in einem Interview mit der Moskauer Tageszeitung „Kommersant“.

„Die Strafverfolgungsbehörden hat dafür formaljuristisch gar keine Grundlage. Um die Täter anzuklagen, bedarf es einer strafrechtlichen Ermittlung“, sagte Kaspersky weiter, „und zu dieser kommt es nur, wenn das Land, das angegriffen wird, einen internationalen Haftbefehl ausstellt. Es ist unmöglich, diese Situation ohne den Ausbau der internationalen Zusammenarbeit zu verbessern.“

Hackerangriffe auf kritische Infrastruktur als Gefahr für die nationale Sicherheit

Eine Alternative gäbe es womöglich, zumindest für so ein mächtiges Land wie die USA: Es nimmt die Sache in die eigene Hand. Schon nach der Attacke von DarkSide auf die Colonial Pipeline hatte das Weiße Haus klargemacht, dass es Cyberattacken auf kritische Infrastruktur wie ein ganzes Pipelinenetzwerk als Gefahr für die nationale Sicherheit betrachte. Nach dem Angriff auf Kaseya bekräftigte Biden diese Haltung gegenüber Putin vor zehn Tagen in einem einstündigen Telefonat.

Russlands Präsident Wladimir Putin und sein Amtskollege aus den USA, Joe Biden. Gut möglich, dass die beiden Staaten in Zukunft auf dem Gebiet der Cyberkriminalität zusammenarbeiten werden.

© Quelle: imago images/ITAR-TASS

Als der US-Präsident danach vor Washingtoner Hauptstadtjournalisten trat und gefragt wurde, ob er die Server der russischen Ransomware-Kriminellen selber abschalten würde, wenn es die Russen nicht täten, antwortete Biden kurz und knapp mit „Ja“.

Zahl der Cyberangriffe in Russland wächst explosionsartig

Doch muss es tatsächlich zu einem solchen Alleingang kommen, der die amerikanisch-russischen Verhältnisse an einem Punkt belasten würde, an dem beide Seiten von einer Kooperation vermutlich profitieren würden? Denn nachdem Russland lange Zeit von der Cyberkriminalität verschont blieb, weil sich die legendären Hacker, die das Land hervorbrachte, in den Neunzigerjahren und den frühen Nullerjahren auf den wohlhabenden Westen konzentrierten, hat sich das Blatt inzwischen gewendet.

Im vergangenen Jahr teilte Generalstaatsanwalt Igor Krasnow über die staatliche Nachrichtenagentur Interfax mit, dass die Zahl der Cyberangriffe in Russland zwischen 2016 und 2020 um das Fünfundzwanzigfache gestiegen sei: „Das galoppierende Wachstum der Straftatbestände“, sagte der oberste Strafverfolger Russlands, „korrespondiert mit der zunehmenden Nutzung von Onlinebanking, -handel und –dienstleistungen.“

Mögliche Kooperation zwischen Russland und USA

Erst Ende Juni hatte zudem der Chef des Inlandsgeheimdienstes FSB, Alexander Bortnikow, bei der diesjährigen Moskauer Sicherheitskonferenz bekräftigt, Russland werde beim Kampf gegen Cyberkriminelle mit den USA zusammenarbeiten, und er hoffe auf Gegenseitigkeit. Denn auch Moskau erkenne „die Gefahr einer Provokation akuter zwischenstaatlicher Konflikte.“

Und tatsächlich: Mitte vergangener Woche sagte Kremlsprecher Dmitri Peskow der staatlichen Nachrichtenagentur Ria-Nowosti, dass die Gespräche russischer und amerikanischer Regierungsexperten über eine mögliche Kooperation auf dem Gebiet der Cyberkriminalität begonnen hätten.

Erkennbare Unruhe in der russischen Hackerszene

Dass gierige Hacker den Kreml an den Verhandlungstisch mit den USA treiben könnten – wie es nun offenbar immer wahrscheinlicher wird – führte in der russischen Hackerszene schon im Mai nach dem Angriff auf Union Pipeline zu erkennbarer Unruhe: „Putins Sprecher muss sich nun vor unseren ausländischen ‚Freunden‘ rechtfertigen, das ist einfach zu viel“, schrieb der Administrator des bekanntesten russischsprachigen Hackerforums XSS, das lange als digitaler Marktplatz unter anderem für die kriminellen Dienste von REvil, DarkSide und ähnlichen Gruppierungen wie LockBite, Netwalker oder Nefifilm dient.

„No more Ransom!, Freunde, ab sofort ist jegliche Veröffentlichung über Lösegeldsoftware im Forum verboten und wird sofort gelöscht“, schrieb „Admin“ weiter, „sie bringt uns zu viel unerwünschte Aufmerksamkeit und ist gefährlich und toxisch geworden.“ Kurz darauf gab DarkSide seine Auflösung bekannt.

Es ist allerdings wohl nicht nur die Erkenntnis, dass die Jahre straffreier Cyberraubzüge endgültig vorbei sein könnten, solange sich diese nur gegen das Ausland richten, die XSS-„Admin“ zum Durchgreifen veranlassten. Offensichtlich fühlt er sich auch in seiner Ehre verletzt.

Russische Hacker, die besten der Welt

Denn bei aller kriminellen Energie, die die russischen Cyberkriminellen entfalten, galt bislang ein Ehrenkodex unter ihnen, dass ihre unbestritten hohe Programmierkompetenz die erbeuteten Gelder rechtfertigt, zumal beim gegebenen Wohlstandsgefälle zwischen Ost und West: „Als Kind habe ich die Müllhaufen durchstöbert und Zigarettenstummel geraucht. Heute bin ich Millionär“, sagte REvil’s „Unbekannt“ im Interview mit „The Record“. „Allerdings arbeite ich mit Leuten, für die ein Vorbehalt gilt: Wir sind besser.“

Das klingt nach der gewohnten Vollmundigkeit, doch Jewgeni Kaspersky sieht russischsprachige Hacker tatsächlich weltweit an erster Stelle, was die Komplexität und Ausgereiftheit ihrer Angriffe angeht, ebenso wie er russische Programmierer für die besten der Welt hält: „Weil sie von denselben Universitäten kommen. Das russische Ausbildungssystem in der Informationstechnologie bringt eine Menge talentierter, kompetenter Ingenieure hervor.“

Kundendienst und Dashboards: Erpressen à la carte

Im Erpressungsgeschäft sind große Programmierfertigkeiten inzwischen allerdings gar nicht mehr notwendig, seit REvil und andere anfingen, Lösegeldmalware in der Form „Ransomware-as-a-Service“ (RaaS) anzubieten. Die Einstiegsbarriere für gering qualifizierte Hacker ist damit so gut wie beseitigt. Ein typisches RaaS-Abonnement kostet etwa 50 Dollar und enthält den Ransomware-Code und den Entschlüsselungsschlüssel.

Auch ein Kundendienst und Dashbords sind gegen Aufpreis verfügbar, über die die Hacker ihre Opfer tracken können, was den Infektionsgrad und den Stand bei den Lösegeldzahlungen anbelangt. Von der Beute müssen die RaaS-Kunden dem Anbieter einen Anteil abgeben, entweder in Form von Lizenzgebühren oder Provisionen.

Löst sich die Hackergruppe auf oder formiert sie sich nur neu?

Dieses Geschäftsmodell widert einen russischen Hacker von altem Schlag wie XSS-„Admin“ offensichtlich an: „Die Degeneration ist ihnen ins Gesicht geschrieben: Programmieranfänger geraten wegen virtueller Dollarbeträge in Millionenhöhe in Ekstase“, beschwert er sich. „Sie wollen nichts, sie lernen nichts, sie programmieren nichts, sie denken nicht einmal nach. Ihre ganze Existenz beschränkt sich auf: verschlüsseln – Dollars einstreichen.“

Mehr zum Thema

 

Pegasus-Software: Israelische Firma NSO soll Journalisten und Politiker ausgespäht haben

 

US-Regierung und Verbündete machen China für Hackerangriffe verantwortlich

 

Neue Hyperschallwaffe: Russland meldet erfolgreichen Test

Bei der geballten Gegenwehr, die sich nun offenbar formiert, sieht es so aus, als ob es die russischen Hacker mit ihren Dollarstreifzügen zuletzt übertrieben haben. Das wirft die Frage auf: Streichen sie ihre Millionenvermögen einfach ein und genießen den Rest ihres Lebens an der Schwarzmeerküste? Oder lassen sie etwas Gras über die Sache wachsen und formieren sich dann neu? Es wäre nicht das erste Mal: 2019 hatte sich die Ransomware-Gruppe GandCrab aufgelöst, nur unter dem neuen Codenamen REvil in Erscheinung zu treten.